I ricercatori di ESET hanno scoperto il primo ransomware per Android che sfrutta il servizio di accessibilità. DoubleLocker, questo il nome assegnato al malware, blocca ovviamente l’accesso allo smartphone e chiede il pagamento di un riscatto in Bitcoin.
DoubleLocker viene distribuito in vari modi, come il trojan bancario (BankBot), ma principalmente tramite un falso aggiornamento Flash mostrato in alcuni siti compromessi. Se avviata, l’app fasulla chiede l’attivazione del servizio di accessibilità del sistema operativo Google, utilizzati dal ransomware per attivare i diritti di amministratore e per sostituire il launcher attuale, senza il permesso dell’utente. Ogni volta che viene premuto il pulsante Home, DoubleLocker è riattivato e il dispositivo viene nuovamente bloccato.
Il nome del malware è un riferimento al doppio riscatto chiesto dai suoi autori. Una volta eseguito, DoubleLocker cambia il PIN, scegliendo un valore casuale. Dopo il pagamento del riscatto (0,013 BTC), il PIN viene resettato da remoto e l’utente può sbloccare lo smartphone. Il ransomware effettua inoltre la cifratura di tutti i file con la crittografia AES a 256 bit. Se il riscatto non viene pagato entro 24 ore, i file non saranno più accessibili.
Gli utenti che usano un antivirus aggiornato non corrono nessun rischio, in quanto DoubleLocker viene rilevato e bloccato. In caso contrario, l’unico modo per pulire il dispositivo è il reset di fabbrica. Per i dispositivi rooted è possibile evitare il reset, cancellando i file in cui il PIN è memorizzato, sbloccare lo schermo, disattivare i diritti di amministratore e cancellare il malware.